Der Bundesrat hat am Freitag (6. März 2026) dem Kritis-Dachgesetz zugestimmt. Damit werden erstmals einheitliche Standards für den physischen Schutz kritischer Infrastrukturen erlassen.
Energie-, Wasser- und Telekommunikationsversorger sowie Abwasser- und Abfallbetriebe sollen künftig Risikoanalysen erstellen, Sicherheitsmaßnahmen umsetzen und schwere Störungen melden. Ziel ist, die Versorgung besser gegen Sabotage, extreme Wetterereignisse und Terrorangriffe zu schützen.
Der Verband kommunaler Unternehmen (VKU) begrüßte die Entscheidung. VKU-Hauptgeschäftsführer Ingbert Liebing sagt: „Das jahrelange Warten hat ein Ende. Die Einigung ist ein wichtiger Schritt für den Schutz kritischer Infrastrukturen. Die Unternehmen haben damit endlich Rechts- und Planungssicherheit für ihre Investitionen.“ Die Zustimmung des Bundesrats sei überfällig.
Trotz des Beschlusses sieht der Verband weiteren Handlungsbedarf. Die Bundesregierung müsse „nun schnell die Nationale Risikoanalyse und -bewertung vorlegen“. Diese sei bereits seit Januar fällig und eine wichtige Grundlage für die Analysen der Unternehmen. Auch neue Meldepflichten, etwa für kritische Komponenten, müssten praxistauglich ausgestaltet werden.
„Resilienz gibt es nicht zum Nulltarif“, bemerkt Liebing. „Der Bund ist gefordert, nun sämtliche Spielräume zur Unterstützung der notwendigen Investitionen auszuschöpfen.“ Liebing verwies zudem auf die Grenzen der Betreiber: „100-prozentige Sicherheit gibt es nicht. Die Abwehr von Terrorangriffen bleibt Aufgabe von Bund und Ländern. Stadtwerke, Wasserversorger und Müllabfuhren sind nicht die Polizei.“
Gleichzeitig erneuert der VKU seine Vorschläge für den besseren Schutz kritischer Infrastrukturen:
- Schutz kritischer Infrastrukturen zum überragenden öffentlichen Interesse erklären, um Abwägungen zu beschleunigen und Sicherheitsinteressen zu priorisieren.
- Neubewertung und Anpassung von Transparenzpflichten: Infrastrukturbetreiber müssen heute viele Daten offenlegen, zum Beispiel durch Transparenzregeln, das Informationsfreiheitsgesetz oder Open-Data-Vorgaben. Dort, wo solche Offenlegungen aber die physische und/oder IT-Sicherheit gefährden, sollten die Regeln überprüft und angepasst werden. Der VKU begrüßt, dass dieser Aspekt in der Protokollerklärung der Bundesregierung aufgegriffen wurde.
- Nationale Gesamtstrategie und Risikoanalyse vorlegen, wie es die CER‑Richtlinie bereits seit Januar verlangt.
- Nationale Notfallreserve aufbauen, unter anderem mit Großgeräten für Inselnetzversorgung binnen 24 Stunden.
- Finanzierung sichern, unter anderem über die Ausnahme von der Schuldenbremse (Art. 109 GG) und das SVIK.
Hintergrund zum Kritis-Dachgesetz
Das Kritis-Dachgesetz schafft erstmals Mindeststandards für den Schutz kritischer Infrastrukturen vor physischen Angriffen, verpflichtet zu Risiko- und Resilienzplänen und Einführung von Krisenmanagementsystemen sowie zur Meldung größerer Störungen oder Vorfälle an Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Das Kritis-Dachgesetz schreibt außer einer Risikoanalyse und Risikobewertung keine weiteren konkreten Maßnahmen vor. Was Unternehmen konkret machen müssen, wird erst später in entsprechenden Gesetzen und Verordnungen des Bundesministeriums des Inneren beziehungsweise später der Fachministerien oder durch branchenspezifische Sicherheitsstandards geregelt. Insgesamt werden elf Sektoren adressiert, unter anderem Energie-, Wasser-, Abfall- und Telekommunikationswirtschaft.
Mit dem Kritis-Dachgesetz will Deutschland die EU-Richtlinie über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) in deutsches Recht umsetzen. Das hätte eigentlich schon bis zum 17. Oktober 2024 passieren müssen. Deshalb hat die EU-Kommission bereits ein Vertragsverletzungsverfahren in Gang gesetzt. Frist zur Umsetzung der Maßnahmen ist der 17. Juli 2026. Schutz vor Cyber-Angriffen adressiert wiederum die NIS2-Richtlinie.
Quelle: VKU
